Aktivieren Sie den öffentlichen Zugriff auf einen von MSK bereitgestellten Cluster - Amazon Managed Streaming für Apache Kafka

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie den öffentlichen Zugriff auf einen von MSK bereitgestellten Cluster

Amazon MSK bietet Ihnen die Möglichkeit, den öffentlichen Zugriff auf die Broker von MSK Provisioned Clustern zu aktivieren, auf denen Apache Kafka 2.6.0 oder höhere Versionen ausgeführt werden. Aus Sicherheitsgründen können Sie den öffentlichen Zugriff nicht aktivieren, während Sie einen MSK-Cluster erstellen. Sie können jedoch einen vorhandenen Cluster aktualisieren, um ihn öffentlich zugänglich zu machen. Sie können auch einen neuen Cluster erstellen und ihn dann aktualisieren, um ihn öffentlich zugänglich zu machen.

Sie können den öffentlichen Zugriff auf einen MSK-Cluster ohne zusätzliche Kosten aktivieren. Für die Datenübertragung innerhalb und aus dem Cluster fallen jedoch die AWS Standardkosten für die Datenübertragung an. Informationen zur Preisgestaltung finden Sie unter Amazon EC2 On-Demand-Preise.

Um den öffentlichen Zugriff auf einen von MSK bereitgestellten Cluster zu aktivieren, stellen Sie zunächst sicher, dass der Cluster alle der folgenden Bedingungen erfüllt:

  • Die Subnetze, die dem Cluster zugeordnet sind, müssen öffentlich sein. Jedem öffentlichen Subnetz ist eine öffentliche IPv4 Adresse zugeordnet, und die Preise für öffentliche IPv4 Adressen sind auf der Amazon VPC-Preisseite angegeben. Das bedeutet, dass den Subnetzen eine Routing-Tabelle mit einem angeschlossenen Internet-Gateway zugeordnet sein muss. Informationen zum Erstellen und Anhängen eines Internet-Gateways finden Sie unter Aktivieren des VPC-Internetzugangs mithilfe von Internet-Gateways im Amazon VPC-Benutzerhandbuch.

  • Die Zugriffskontrolle ohne Authentifizierung muss ausgeschaltet sein und mindestens eine der folgenden Zugriffskontrollmethoden muss aktiviert sein:, mTLS. SASL/IAM, SASL/SCRAM Weitere Informationen zum Aktualisieren der Zugriffssteuerungs-Methode eines Clusters finden Sie unter Sicherheitseinstellungen eines Amazon MSK-Clusters aktualisieren.

  • Die Verschlüsselung innerhalb des Clusters muss aktiviert sein. Die Einstellung Ein ist die Standardeinstellung beim Erstellen eines Clusters. Es ist nicht möglich, die Verschlüsselung innerhalb des Clusters für einen Cluster zu aktivieren, der mit ausgeschalteter Verschlüsselung erstellt wurde. Es ist daher nicht möglich, den öffentlichen Zugriff für einen Cluster zu aktivieren, der mit deaktivierter Verschlüsselung erstellt wurde.

  • Der Klartext-Datenverkehr zwischen Brokern und Clients muss Aus sein. Informationen darüber, wie Sie ihn ausschalten können, wenn er eingeschaltet ist, finden Sie unter Sicherheitseinstellungen eines Amazon MSK-Clusters aktualisieren.

  • Wenn Sie die Zugriffskontrollmethoden SASL/SCRAM oder mTLS verwenden, müssen Sie Apache Kafka für Ihren Cluster einrichten. ACLs Nachdem Sie Apache Kafka ACLs für Ihren Cluster festgelegt haben, aktualisieren Sie die Konfiguration des Clusters, sodass die Eigenschaft für den Cluster auf false gesetzt wird. allow.everyone.if.no.acl.found Weitere Informationen zum Aktualisieren der Konfiguration eines Clusters finden Sie unter Operationen zur Broker-Konfiguration. Wenn Sie IAM-Zugriffssteuerung verwenden und Autorisierungsrichtlinien anwenden oder Ihre Autorisierungsrichtlinien aktualisieren möchten, finden Sie weitere Informationen unter IAM-Zugriffssteuerung. Informationen zu Apache Kafka finden Sie ACLs unter. Apache Kafka ACLs

Nachdem Sie sichergestellt haben, dass ein MSK-Cluster die oben aufgeführten Bedingungen erfüllt, können Sie die AWS Management Console AWS CLI, oder die Amazon MSK-API verwenden, um den öffentlichen Zugriff zu aktivieren. Nachdem Sie den öffentlichen Zugriff auf einen Cluster aktiviert haben, können Sie eine öffentliche Bootstrap-Broker-Zeichenfolge für diesen Cluster abrufen. Weitere Informationen zum Abrufen der Bootstrap-Broker für einen Cluster finden Sie unter Holen Sie sich die Bootstrap-Broker für einen Amazon MSK-Cluster.

Wichtig

Stellen Sie neben der Aktivierung des öffentlichen Zugriffs sicher, dass die Sicherheitsgruppen des Clusters über TCP-Regeln für eingehenden Datenverkehr verfügen, die öffentlichen Zugriff von Ihrer IP-Adresse aus ermöglichen. Wir empfehlen, dass Sie diese Regeln so restriktiv wie möglich gestalten. Weitere Informationen zu Sicherheitsgruppen und Regeln für eingehenden Datenverkehr finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon-VPC-Benutzerhandbuch. Portnummern finden Sie unter Port-Informationen. Anweisungen zum Ändern der Sicherheitsgruppe eines Clusters finden Sie unter Ändern der Sicherheitsgruppe eines Amazon-MSK-Clusters.

Anmerkung

Wenn Sie die folgenden Anweisungen verwenden, um den öffentlichen Zugriff zu aktivieren und dann immer noch nicht auf den Cluster zugreifen können, finden Sie dazu Informationen unter Es kann nicht auf einen Cluster zugegriffen werden, für den der öffentliche Zugriff aktiviert ist.

Aktivieren des öffentlichen Zugriffs mit der Konsole

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon MSK-Konsole zu https://console.aws.amazon.com/msk/Hause? region=us-east-1#/home/.

  2. Wählen Sie in der Cluster-Liste den Cluster aus, für den Sie den öffentlichen Zugriff aktivieren möchten.

  3. Wählen Sie die Registerkarte Eigenschaften und suchen Sie dann den Abschnitt Netzwerkeinstellungen.

  4. Wählen Sie Öffentlichen Zugriff bearbeiten.

Einschalten des öffentlichen Zugriffs mit dem AWS CLI

  1. Führen Sie den folgenden AWS CLI Befehl aus ClusterArn und Current-Cluster-Version ersetzen Sie dabei und durch den ARN und die aktuelle Version des Clusters. Verwenden Sie den Befehl DescribeClusteroperation oder describe-cluster, um die aktuelle Version des Clusters AWS CLI zu ermitteln. KTVPDKIKX0DER ist ein Beispiel für eine Version.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    Die Ausgabe dieses update-connectivity-Befehls sieht wie das folgende JSON-Beispiel aus.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    Anmerkung

    Um den öffentlichen Zugriff zu deaktivieren, verwenden Sie einen ähnlichen AWS CLI Befehl, jedoch mit den folgenden Verbindungsinformationen:

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Um das Ergebnis des update-connectivity Vorgangs zu erhalten, führen Sie den folgenden Befehl aus und ClusterOperationArn ersetzen Sie ihn durch den ARN, den Sie in der Ausgabe des update-connectivity Befehls erhalten haben.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    Die Ausgabe dieses describe-cluster-operation-Befehls sieht wie das folgende JSON-Beispiel aus.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Wenn OperationState den Wert „UPDATE_IN_PROGRESS“ aufweist, warten Sie eine Weile, bevor Sie den describe-cluster-operation-Befehl erneut ausführen.

Aktivieren des öffentlichen Zugriffs mithilfe der Amazon-MSK-API

  • Informationen zum Aktivieren oder Deaktivieren des öffentlichen Zugriffs auf einen Cluster mithilfe der API finden Sie unter UpdateConnectivity.

Anmerkung

Aus Sicherheitsgründen erlaubt Amazon MSK keinen öffentlichen Zugriff auf Apache ZooKeeper - oder KRaft Controller-Knoten.